DigiCertは、MozillaのCAコンプライアンストラッカー上で、同社のサポート担当者を狙ったマルウェア感染により、EVコード署名証明書の初期化コードが攻撃者に取得されたと報告しました。攻撃者は2026年4月2日、顧客を装ってサポートチャットに接触し、スクリーンショットに見せかけたZIPファイルを送付しました。ZIP内には.scr形式の悪意ある実行ファイルが含まれており、複数回の配送試行の後、サポート担当者が利用する端末ENDPOINT1が侵害されました。
目次
攻撃者は初期化コードを使ってEVコード署名証明書を取得
DigiCertの調査では、攻撃者は侵害した担当者端末から内部サポートポータルにアクセスしました。
このポータルには、サポート担当者が顧客対応のために顧客アカウントを代理表示できる機能があり、アカウント管理、ユーザー管理、APIキー管理、注文の送信・管理などは制限されていました。一方で、承認済みで配付待ちのEVコード署名証明書注文に紐づく初期化コードは閲覧できる状態でした。
DigiCertは、承認済み注文と初期化コードがそろうと、対応する証明書を生成・取得できると説明しています。
つまり、初期化コードは単なる手続き上の情報ではなく、実質的に証明書取得に使えるベアラー資格情報として扱うべき情報でした。DigiCertのナレッジベースでも、コード署名証明書をeTokenへセットアップする際、注文詳細から初期化コードを取得してインストーラーへ入力する流れが説明されています。
証明書60件を失効、27件は攻撃者との関連を確認
DigiCertは2026年4月14日から17日にかけて、攻撃者の行為に影響を受けた可能性があるコード署名証明書60件を失効しました。このうち27件は攻撃者との関連が明示的に確認され、33件は顧客による正当な管理を明確に確認できなかったため、予防的に失効されています。DigiCertは、特定済みの証明書は発見から24時間以内に失効したと説明しています。
SecurityWeekは、60件の失効証明書のうち27件が攻撃者に関連し、11件はコミュニティからの報告でマルウェア署名との関連が示されたと報じています。この点はDigiCertの報告内容とも一致しています。
Zhong Stealerの署名に悪用
DigiCertは、コミュニティメンバーが特定した悪用証明書が、Zhong Stealerファミリーの署名に使われていたと報告しています。コード署名証明書は、ソフトウェアの発行元確認や改ざん検知に使われる信頼の仕組みですが、攻撃者に悪用されると、マルウェアが正規ソフトウェアに見えやすくなります。
ANY.RUNの分析によると、Zhong Stealerは暗号資産やフィンテック分野を狙うキャンペーンで確認されており、攻撃者はZendeskなどのチャットサポート基盤で顧客を装い、サポート担当者にZIPファイルを開かせようとします。実行後はブラウザ認証情報や拡張機能データを窃取し、香港にあるC2サーバーへ送信する挙動が確認されています。
原因はサポート担当のマルウェア感染
DigiCertは原因として、EDRの適用不備、サポートポータル機能における権限最小化の不足、初期化コードをベアラー資格情報として扱っていなかった点、顧客向けサポートチャネルのファイル転送制御が緩かった点を挙げています。
特にENDPOINT2については、CrowdStrikeがインストールされていなかったため、2026年4月3日の初期調査では侵害を検知できなかったと説明されています。
Okta FastPassと端末侵害の組み合わせも論点に
DigiCertは再発防止策の一つとして、サポートポータルおよび関連アプリケーションでOkta FastPassを無効化し、影響を受ける管理ワークフローのMFA要件を強化しました。また、センシティブなアプリケーションについて、端末に紐づくMFAを単独要素として使わず、フィッシング耐性のあるMFAを求める対応も完了したとしています。
端末が侵害された場合、端末信頼に依存する認証は攻撃者に正規利用者としてのアクセスを許してしまうことがあります。重要な管理画面や証明書、鍵、トークン、顧客情報にアクセスできるシステムでは、端末状態だけでなく、操作ごとの再認証、JIT権限付与、二者承認、異常検知を組み合わせる設計が必要です。
DigiCertが実施した主な対応
DigiCertは、悪意あるファイルの削除、端末の隔離と再イメージ化、CrowdStrike設定の修正、Okta FastPassの無効化、初期化コードのマスキング、サポートチャットやSalesforceケース添付で許可するファイル種別の制限を実施しました。.exe、.scr、.zipなどの高リスクなファイル種別を取り込み時点でブロックする対応も完了したとしています。
一方で、サポートチャネル経由の添付ファイルに対するサンドボックスまたはデトネーション制御、チャットファイル配送に関するメタデータログの拡張、JIT特権アクセスや二者承認、証明書発行ワークフローの異常検知、EDR/SASEの継続的なカバレッジ監視などは、報告時点で進行中または今後の対応として整理されています。
情報システム部門が確認すべきポイント
本件は認証局のインシデントですが、一般企業の情報システム部門にも共通する論点があります。まず確認すべきは、外部からファイルを受け取るサポート部門、営業部門、カスタマーサクセス部門、コールセンター部門の端末管理です。EDRを導入していても、未導入端末、設定不備端末、長期間棚卸しされていない端末が残っていれば、検知の空白になります。
次に確認したいのは、社内ポータルや管理画面にある代理ログイン、代理表示、顧客アカウント参照機能です。サポート業務上は必要な機能であっても、APIキー、初期化コード、リカバリコード、署名鍵、アクセストークン、認証コードなどに触れられる場合は、単なる参照権限ではなく特権アクセスとして扱う必要があります。
また、問い合わせフォーム、チャット、CRM、チケット管理、ファイル共有、メール添付について、実行形式ファイル、スクリプト、ショートカット、パスワード付きZIP、二重拡張子、アーカイブ内実行ファイルをどこで止めるかを明確にすべきです。FINRAもZhong Stealerに関するアラートで、顧客対応担当者への教育、未確認ZIPファイルの実行制限、不審なC2通信の監視、サンドボックスでの解析を推奨しています。
出典
Mozilla Bugzilla Bug 2033170 – DigiCert: Misissued code signing certificates
SecurityWeek – DigiCert Revokes Certificates After Support Portal Hack
Hackread – Hackers Trick DigiCert Into Issuing Certificates Used to Sign Malware
DigiCert Knowledge Base – Set Up Your DigiCert Provided eToken
ANY.RUN – Zhong Stealer: Technical Analysis of a Threat Targeting Fintech
FINRA – Cybersecurity Alert – New Malware Targeting Firm Customer Support Personnel
関連記事
DigiCertがバグにより顧客のSSL/TLS 証明書を大量失効させる
Oktaがソーシャルエンジニアリング型のフィッシング攻撃について注意喚起
偽のハムスターコンバットでマルウェア配布を確認
WindowsのTCP/IP IPv6を使用する全てのシステムに影響を与える緊急度の高い 脆弱性(CVE-2024-38063)
シングルサインオン(SSO)とは 概要や必要性を解説
Googleが警告、ShinyHuntersがボイスフィッシング(ビッシング)を起点としてSaaSへ不正アクセス
オランダ通信大手Odido、不正アクセスで個人情報漏洩 最大620万アカウント規模か
Let’s Encrypt、IPアドレス専用証明書(IP SAN証明書)の発行に向けて準備中
SonicWall SMAシリーズを狙うVPN認証情報窃取キャンペーンが進行中 CVE-2021-20035の悪用か
